Корпорация Microsoft выпустила очередную порцию заплаток
для своих программных продуктов.
На этот раз больше всего дыр устранено в браузере
Internet Explorer. Как сообщается в бюллетене
безопасности
MS05-054, одна из проблем связана с особенностями
отображения диалоговых окон, информирующих пользователя
о загрузке файлов из Сети. Для реализации нападения
злоумышленнику необходимо создать специальную
веб-страницу и заманить на нее жертву. В случае успешной
атаки на удаленном компьютере может быть выполнен
произвольный вредоносный код.
Еще одна ошибка в Internet Explorer предоставляет
злоумышленнику возможность получить адрес посещаемой
пользователем страницы даже в том случае, если
применяется защищенное HTTPS-соединение. Ошибка,
возникающая при обработке определенных COM-объектов в
процессе просмотра ресурсов в интернете, может
использоваться злоумышленниками с целью получения
несанкционированного доступа к удаленному ПК.
Наконец, еще одна дыра в Internet Explorer может быть
задействована через сформированные особым образом
DOM-объекты (Document Object Model). Результатом атаки
может стать выполнение на машине произвольного
вредоносного кода. Уязвимости, охарактеризованные как
критически опасные, присутствуют в браузере IE версий
5.01, 5.5 и 6.0.
Помимо кумулятивного патча для Internet Explorer
корпорация Microsoft
выпустила заплатку для дыры в операционной системе
Windows 2000. Из-за ошибки, возникающей в процессе
обработки списка очереди APC (Asynchronous Procedure
Call), нападающий может повысить уровень своих
привилегий в системе. Правда, задействовать брешь
удаленно невозможно, в связи с чем она получила статус
важной.
